Ist Greylisting immer noch eine effiziente Methode zur Verhinderung von Spam?

Ich habe jahrelang Greylisting auf meinen Servern verwendet, aber ich weiß nicht, wie effektiv es heutzutage ist.

Ist es auch 2012 noch gut gegen Spam?

Oder kann der typische Spammer-MTA jetzt E-Mails mit grauer Liste erneut senden?

Ein Update von 2018:

Ich war immer ein großer Fan von Greylisting. Aus diesen Gründen:

• Es markiert nicht nur Spam, es blockiert ihn.
• Die Nutzung als Dienstleister in Deutschland ist legal (im Gegensatz zum Löschen von Spam-Mails nach dem Empfang)
• Es ist einfach und effektiv.
• Es erhöht die Belastung des Spammers und nicht des empfangenden Mailservers. Auch wenn die Spammer es durch Ihr Greylisting schaffen, haben Sie ihre Maschine gezwungen, härter zu arbeiten, und so können sie insgesamt weniger Spam versenden.
• Im Gegensatz zu IP-basierten RBLs usw. werden fast keine legitimen E-Mails blockiert.
• Es führt zu Verzögerungen, aber Sie können Clients (Sendeserver) von häufigen Kontakten und Empfängern, die wirklich E-Mails benötigen, mit minimaler Verzögerung auf eine Whitelist setzen. Denken Sie daran, dass die Verwendung eines Spamfilters wie Spamassasin direkt für alle Ihre E-Mails (ohne Greylisting) auch Verzögerungen für legitime E-Mails verursachen kann: Einige Spammer senden so viele E-Mails an Ihren Server, dass der Spamfilter überlastet wird. Somit wird ein temporärer Fehler (zB 451) an den sendenden Server von weiteren eingehenden Mails gesendet. Dies hat die gleichen Auswirkungen wie das Greylisting, dh Mails werden verzögert, mit der Ausnahme, dass das Whitelisting nicht so einfach ist. Natürlich können Sie einen Cloud-Spam-Filter verwenden, der sich auf die Leistung des Spammers skalieren lässt. Dies kann jedoch teurer sein.
• Begrenzte oder keine Wartung erforderlich. Keine schwarze Liste, die im Laufe der Zeit aktualisiert und geändert werden muss. Keine musterbasierten Regeln, die aktualisiert werden müssen.

Leider sehe ich in meinen Statistiken, dass das Greylisting in diesem Jahr immer weniger effektiv wird. Die Anzahl der verspäteten Nachrichten nähert sich sehr schnell der Anzahl der grau aufgelisteten Nachrichten, was bedeutet, dass die Anzahl der blockierten Spam-Nachrichten abnimmt.

Im letzten Jahr (365 Tage) schafften es 55% der grau aufgelisteten Nachrichten durch Greylisting, dh 45% wurden blockiert.

Mailgraph Statistik Jahr

Beachten Sie, dass dieses Diagramm einen Zeitrahmen enthielt, in dem grau aufgelistete Nachrichten aufgrund eines Konfigurationsfehlers von mailgraph nicht gezählt wurden, sondern nur verzögerte. Dies bedeutet, dass diese Berechnung verspätete Nachrichten ein wenig überschätzt, tatsächlich wurden ein wenig mehr Mails blockiert.

Im letzten Monat haben sich 64% verspätet und nur 36% wurden gesperrt.

Mailgraph Statistik Monat

In der letzten Woche haben sich 75% verspätet und nur 25% wurden geblockt.

Mailgraph Statistik Woche

Betrachtet man außerdem die Gesamtzahl der blockierten Nachrichten: In diesem Monat blockierte Greylisting 4 411 Nachrichten, aber Amavisd (spamassasin) blockierte 22 763 Nachrichten. Dies bedeutet, dass nur 16% des Spam durch Greylisting blockiert werden, der Rest durch amavisd.

Darüber hinaus senden immer mehr Cloud-Sendeanbieter von mehreren hundert IP-Adressen aus. Sie versuchen jeden Übertragungsversuch von einer anderen IP. Daher kann Greylisting diese Mails für gerade Tage blockieren. Daher müssen Sie alle "guten" E-Mail-Anbieter auf die Whitelist setzen. Dies bringt neuen Wartungsaufwand mit sich.

Ich war schon immer ein großer Fan von Greylisting, aber leider sehe ich, dass es immer weniger effektiv ist und ich denke, dass ich es bald deaktivieren werde, da es nur 14% meiner Mails unnötig verzögert, ohne viel Spam zu blockieren .

Die irreführenden Statistiken

Die Anzahl der blockierten Mails in meinen (und Ihren) Statistiken kann ebenfalls stark irreführend sein. Nehmen wir eine E-Mail, die von einem großen Cloud-Mail-Anbieter stammt (wie Microsoft * .outbound.protection.outlook.com), der noch nicht auf der Whitelist steht. Der erste Versuch schlägt fehl. Der zweite und dritte Übertragungsversuch stammen von zwei anderen Servern (IPs), sodass er erneut fehlschlägt, da das Triplet nicht übereinstimmt. Nun kommt der vierte Versuch wieder vom ersten Server und ist erfolgreich. Dies wird als eine verzögerte Übertragung und vier grau unterlegte Nachrichten gezählt. Meine obigen Berechnungen ergaben, dass 1/4 = 25% der grau aufgelisteten Nachrichten verzögert und 3/4 = 75% blockiert wurden. Tatsächlich wurde jedoch keine einzige Nachricht blockiert. Jetzt setzen wir die Server dieser E-Mail-Anbieter auf eine Whitelist, damit sie nicht mehr in die Grauliste aufgenommen werden. Was passieren wird, ist, dass die Anzahl der grau aufgelisteten Nachrichten mehr sinkt als die Anzahl der verspäteten Nachrichten. Dies bedeutet, dass die Anzahl der von uns berechneten blockierten Nachrichten sinkt. Es stimmt jedoch nicht, dass weniger Nachrichten blockiert wurden.

Tatsächlich habe ich seit Februar 2017 immer mehr Cloud-Mail-Anbieter in die Whitelist aufgenommen, um das Problem der langen Verzögerungen aufgrund von Greylisting zu bekämpfen. Dies kann (teilweise?) Erklären, warum die Anzahl der blockierten Mails, die ich berechne, rapide abnimmt. Also dachte ich vielleicht die ganze Zeit, dass Greylisting viel Spam blockiert, aber die Menge an blockiertem Spam war die ganze Zeit viel geringer, es wurde einfach falsch berechnet. Seien Sie also vorsichtig, wenn Sie Ihre Statistiken interpretieren.

Das habe ich mir zuletzt im Juli dieses Jahres (2012) quantitativ angeschaut. Im Juli erhielt mein Mailserver ungefähr 46.000 Versuche, E-Mails zuzustellen. Davon kehrten etwa 1.750 zurück und wurden vom Greylisting zugelassen (und bestanden gültige Absenderdomäne, SPF und einige andere nicht inhaltsbasierte Tests). Davon wurden ungefähr weitere 1.500 durch meine inhaltsbasierte Filterung gefiltert.

Unter der Annahme, dass diese 44.250 E-Mails Spam waren (da sie kein Greylisting bestehen konnten, halte ich das für eine faire Annahme), hätte meine inhaltsbasierte Filterung ohne das Greylisting 46.000 anstatt 1.750 E-Mails bewältigen müssen.

Eine fünfundzwanzigfache Auslastung meiner inhaltsbasierten Filterung würde bedeuten, dass ich viel leistungsfähigere CPUs und mehr Arbeitsspeicher benötige. Das wiederum würde meine monatlichen Hosting-Kosten aufgrund des zusätzlichen Stromverbrauchs (und wahrscheinlich der Größe des Servers) erhöhen.

Kurz gesagt, das letzte Mal, als ich gezählt habe, ergab Graulisten immer noch einen sehr, sehr guten Sinn als Teil eines vollständigen Spam-Filtersystems . Ich habe es in den letzten Wochen für Kunden aktiviert und alle sind sehr zufrieden mit der Entlastung ihrer inhaltsbasierten Filtersysteme.

Bearbeiten : Ich stelle fest, dass ich die Frage, ob es im Laufe der Zeit weniger effektiv wird, nicht beantwortet habe. Als ich es Ende 2006 einschaltete, schätzte ich damals, dass etwa 95% des Spam herausgefiltert wurden. 1.750 als ein Anteil von 46.000 ist ungefähr 4%, so dass meine Daten darauf hindeuten, dass es in diesem Zeitraum nicht weniger effektiv wird.

Spambots führen normalerweise immer noch keine Nachrichtenwarteschlangen durch, aber einige von ihnen senden den Spam nur zweimal mit ein paar Minuten Verzögerung an jeden Empfänger, um Greylisting zu verhindern. Außerdem ist Spam von Spambots heutzutage nicht mehr das eigentliche Problem. Spam von kompromittierten Yahoo-Konten usw. ist viel schwerer zu fangen.

Unter diesem Gesichtspunkt ist Greylisting nicht mehr so ​​effektiv wie früher. In Kombination mit anderen Anti-Spam-Techniken kann es weiterhin hilfreich sein, wenn sich Ihre Domain beispielsweise häufig im "ersten Stapel" von Spam-Kampagnen befindet. Durch das Greylisting kann die Nachricht so lange verzögert werden, dass Domain- / IP-Blacklists aufholen Beim ersten Verbindungsversuch wäre Spam durch Ihre Filter gerutscht. Beim zweiten Versuch wird er möglicherweise erkannt.

Als tangentiales Problem mag ich es nicht, eine Technik wie Greylisting eingesetzt zu haben, ohne ihre Wirksamkeit messen zu können. Unter Debian können Sie mit Postfix als MTA und Postgrey als Greylisting-Richtlinienengine apt-get install mailgraphein einfaches Diagramm von akzeptierten und abgelehnten E-Mails erstellen . Mailgraph ist ein bisschen altmodisch und völlig eigenständig, aber es funktioniert und seine Daten oder Techniken könnten leicht in ein komplexeres modernes Überwachungssystem integriert werden.

Holen Sie sich einen Reputation-basierten Mail-Filter. Greylisting ist ein bisschen old-school und ist keine umfassende Lösung. Es gibt Problemumgehungen (aus Sicht des Spammers) und unvorhersehbare E-Mail-Zustellzeiten für Ihre Benutzer ...

Sie können die Filterung entweder an einen Cloud-Dienst auslagern oder eine Appliance kaufen, die Zugriff auf eine solche Liste hat und über andere Methoden zur Überprüfung von Spam verfügt. Normalerweise empfehle ich Barracuda für die Appliance oder die Cloud-Filterlösung . Beide Optionen haben Skaleneffekte und ausgereifte Heuristiken, die eine sauberere Gesamtlösung bieten.

Betrachtet man einen Bericht des Barracuda Spam Filters meines Kunden für September 2012, so wurden von 98.457 Nachrichten 1.623 abgeschnitten, bevor sie wegen schlechter Empfänger überhaupt auf den Mailserver gelangten ... 34.488 wurden als SPAM blockiert . Nur 96 fragwürdige Nachrichten haben es geschafft. Als Spam eingestuft wurden eine Kombination aus Reputation, Punktzahl, Absicht, drei RBLs , Bayes'scher Filterung und benutzerdefinierten Regelsätzen. Alles in einer Einheit ... Alles verarbeitet, bevor der relativ kleine Mailserver erreicht wird.

Siehe auch: Bekämpfung von Spam - Was kann ich als: E-Mail-Administrator, Domäneninhaber oder Benutzer tun?